Die Netze des Bundestages sind unsicher, so ein geheimer Bericht der Pentesting-Firma Secunet. Was sich erschreckend liest, wäre bei einem mittelgroßen Unternehmen aber nichts ungewöhnliches: Der Unterschied ist die Bedeutung des Bundestags.

Ein geheimer Bericht, der Journalisten der Süddeutschen Zeitung (SZ) vorliegt, bescheinigt der IT-Infrastruktur des Bundestages signifikante Sicherheitsmängel. Die Untersuchung wurde von der Bundestagsverwaltung in Auftrag gegeben und von der Pentesting-Firma Secunet durchgeführt. Da der 101 Seiten lange Bericht nicht öffentlich ist, lassen sich die Einschätzungen der SZ momentan nicht unabhängig bestätigen. Auch mangelt es an Details zu den Sicherheitslücken.

Probleme wie in jeder größeren Firma

Viele der beschriebenen Sicherheitsprobleme lesen sich wie eine Beschreibung der ganz normalen Bedrohungslandschaft in einem mittelgroßen bis großen Unternehmen der freien Wirtschaft. Mitarbeiter bringen eigene Smartphones und Tablets mit in die internen Netze und dürfen auf ihren Rechnern selbst entscheiden, welche Programme sie installieren wollen. USB-Anschlüsse an Geräten und Netzwerkbuchsen im Gebäude sind offen zugänglich – auch für Besucher und Handwerker. Abgeordnete nehmen Rechner aus den internen Netzen mit in ihr privates Umfeld und setzen sie so weiteren Bedrohungen aus.

Das sind durchaus nicht untypische Sicherheitsprobleme, besonders wenn sie aus dem Blickwinkel von Sicherheitsexperten einer Pentesting-Firma beschrieben werden. Aber diese Umstände bieten damit reichlich Angriffsmöglichkeiten auf die Netze des Parlaments der Bundesrepublik. Die Konsequenzen eines erfolgreichen Angriffs wären also deutlich schwerwiegender als die auf eine x-beliebige mittelgroßen Firma irgendwo in der Republik.

Nutzerrechte einschränken, Netze besser abschotten

Trotzdem scheint Secunet in dem Bericht Empfehlungen abzugeben, die man auch einem derartigen Unternehmen geben würde: alle Geräte in den Netzen zentral verwalten und die Installation von Windows-Programmen und Smartphone-Apps einschränken. Programme sollten von der Verwaltung genehmigt werden müssen. Das stelle, so die SZ-Schreiber, "nur geringe Einschränkungen für die Nutzer" dar. Trotzdem ist zu bezweifeln, dass das im Bundestag durchgesetzt werden könnten. Denn ob sich die Mitarbeiter der im Bundestag vertretenden Fraktionen von der Parlamentsverwaltung vorschreiben lassen wollen, welche Programme sie nutzen dürfen, ist schwer vorstellbar.

Bei vorangegangenen Angriffen auf das Parlament waren aktuellen Erkenntnissen zu folge Schadcode auf Servern im Netz einzelner Fraktionen gefunden worden. Dieser könnte über gezielte Phishing-Attacken gegen Abgeordnete ins Netz gelangt sein. Der Bericht geht laut SZ auch auf einige Missstände ein, die von den IT-Verantwortlichen in Reaktion auf diese Angriffe bereits angegangen wurden. So sollen anscheinend die verschiedenen internen Netze des Bundestages (Verwaltung und Fraktionen haben separate Netzwerke und unterschiedliche Hardware im Einsatz) besser voneinander getrennt werden. Eine neue Firewall-Lösung für 470.000 Euro ist demnach bereits bewilligt. (fab)